Arhn - архитектура программирования

Генерация токена CSRF - PHP

Хорошо, поэтому я пытаюсь защитить свое приложение от атак CRSF, добавляя токены CSRF в формы ... Мне было интересно, будет ли моя реализация этого считаться безопасной.

Когда пользователь аутентифицируется (входит в систему), к его сеансу добавляется токен CSRF,

function setCSRF(){
  $randomValue = getRandom(); //Generated with dev/urandom/
  $_SESSION['CSRFtoken'] = $randomValue;
}

Это значение затем добавляется в формы сеанса в виде скрытого поля, когда форма отправляется, форма проверяет значение формы со значением сеанса. Если они совпадают, разрешите обработку формы, форма также регенерирует новый уникальный CSRFToken, чтобы тот же самый не использовался при вызове setCSRF

Будет ли это безопасно?

php forms
03.01.2014

  • Эм, вы имеете в виду CSRF, верно? 03.01.2014
  • Да, извините за это. 03.01.2014

Ответы:


1

Да, это должно сработать, потому что злоумышленник не может угадать случайное значение, чтобы подставить его в свою поддельную форму.

Но учтите, что жертвой csrf атаки является зарегистрированный пользователь, и, конечно же, $_SESSION['CSRFtoken'] установлен для него, и если злоумышленник может получить доступ к реальной форме зарегистрированного пользователя и получить токен (Гипотетический сценарий), пользователь будет легко атакован, потому что токен будет таким же, пока пользователь находится в системе (это может быть долгое время).

Лучше сгенерировать случайную строку в КАЖДОЙ ФОРМЕ, которую отправит пользователь, и установить ее как сеанс и поместить ее в скрытое входное значение. И проверить, совпадает ли отправленное значение с сеансом и т. Д.

Вы можете прочитать их как ссылки:

Подделка межсайтовых запросов (CSRF)

Предотвращение атак CSRF и XSRF

что такое атаки csrf

03.01.2014
  • Хорошо, в этом есть смысл. Мне сложно найти много ресурсов по этой теме специально для PHP. Вы знаете что-нибудь, что я могу прочитать? или есть предложения, как я могу это правильно реализовать? 03.01.2014
  • и ищите "предотвращение атак csrf" 03.01.2014
  • Извините, мне пришлось подождать 10 минут, прежде чем он позволил мне выбрать ответ. Спасибо за ссылку. 03.01.2014
  • посмотрите на обновление еще раз, я передумал, ваше решение не ошибочное, извините 03.01.2014
    • Новые материалы
    Коллекции публикаций по глубокому обучению
    Последние пару месяцев я создавал коллекции последних академических публикаций по различным подполям глубокого обучения в моем блоге https://amundtveit.com - эта публикация дает обзор 25..
    Представляем: Pepita
    Фреймворк JavaScript с открытым исходным кодом Я знаю, что недостатка в фреймворках JavaScript нет. Но я просто не мог остановиться. Я хотел написать что-то сам, со своими собственными..
    Советы по коду Laravel #2
    1-) Найти // You can specify the columns you need // in when you use the find method on a model User::find(‘id’, [‘email’,’name’]); // You can increment or decrement // a field in..
    Работа с временными рядами спутниковых изображений, часть 3 (аналитика данных)
    Анализ временных рядов спутниковых изображений для данных наблюдений за большой Землей (arXiv) Автор: Рольф Симоэс , Жильберто Камара , Жильберто Кейрос , Фелипе Соуза , Педро Р. Андраде ,..
    3 способа решить квадратное уравнение (3-й мой любимый) -
    1. Методом факторизации — 2. Используя квадратичную формулу — 3. Заполнив квадрат — Давайте поймем это, решив это простое уравнение: Мы пытаемся сделать LHS,..
    Создание VR-миров с A-Frame
    Виртуальная реальность (и дополненная реальность) стали главными модными терминами в образовательных технологиях. С недорогими VR-гарнитурами, такими как Google Cardboard , и использованием..
    Демистификация рекурсии
    КОДЕКС Демистификация рекурсии Упрощенная концепция ошеломляющей О чем весь этот шум? Рекурсия, кажется, единственная тема, от которой у каждого начинающего студента-информатика..